Menggunakan PowerShell untuk Menginvestigasi Defenisi Malware Signature Windows Defender
Windows Defender sekarang dapat sepenuhnya digambarkan sebagai antivirus setelah merilis windows 10. Seperti antivirus apa pun, Windows Defender memiliki definisi basis data yang digunakan untuk mengidentifikasi dan memblokir atau menghapus ancaman atau malware. Definisi basis data adalah kumpulan tanda tangan malware yang telah diprogram oleh program antivirus untuk diidentifikasi. Jika tanda tangan tertentu diidentifikasi dengan program tertentu, maka program itu ditandai sebagai ancaman keamanan. Sekarang Windows PowerShell memungkinkan Anda mengintip di bawah kap mesin dan melihat mesin yang menjalankan Windows Defender. Anda dapat melakukan lebih banyak tanpa banyak usaha.
Panduan ini akan menjelaskan secara singkat apa Windows Defender dan Windows PowerShell. Ini akan memberi Anda pengantar singkat tentang cara kerja Windows PowerShell dan cara menggunakan PowerShell untuk mengelola Windows Defender. Kami akhirnya akan melihat bagaimana kami dapat menggunakan PowerShell untuk melihat virus mana yang dapat dikenali oleh Windows Defender dengan melihat basis data definisi tanda tangannya.
Apa itu Windows Defender?
Windows Defender adalah perlindungan malware yang disertakan dan dibangun di Windows. Perangkat lunak ini membantu mengidentifikasi dan menghapus virus, spyware, dan perangkat lunak berbahaya lainnya. Windows Defender berjalan di latar belakang dan memberi tahu Anda ketika Anda perlu melakukan tindakan tertentu. Namun, Anda dapat menggunakannya kapan saja untuk memindai malware jika komputer Anda tidak bekerja dengan semestinya atau jika Anda mengeklik tautan mencurigakan secara online atau dalam pesan email.
Windows Defender tampaknya dijadwalkan untuk transisi ke aplikasi Windows modern setelah bertahun-tahun dengan antarmuka pengguna yang serupa. Windows Defender pertama kali muncul sebagai utilitas anti-virus untuk Windows XP. Sejak versi Vista itu dibangun ke dalam semua OS Microsoft sebagai perlindungan terhadap perangkat lunak berbahaya. Sebelum Windows 8, Windows Defender terlindung dari spyware. Ini termasuk sejumlah agen keamanan real-time yang memantau beberapa area umum Windows untuk perubahan yang mungkin disebabkan oleh spyware. Ini juga termasuk kemampuan untuk dengan mudah menghapus perangkat lunak ActiveX yang diinstal.
Di Windows 8, Windows Defender digabungkan dengan produk antivirus lain - Microsoft Security Essentials - dan sekarang menjadi perangkat lunak antivirus berfitur lengkap. Di Windows 10, pengaturan Windows Defender dikendalikan oleh aplikasi Pengaturan yang diakses dari Pengaturan. Pembaruan Ulang Tahun Windows 10, sekarang memungkinkan pemberitahuan roti untuk muncul dan mengumumkan hasil pemindaian, bahkan jika tidak ada virus yang ditemukan.
Keuntungan utama Defender adalah mudah digunakan, sudah dipra-instal di Windows, diaktifkan secara default dan praktis tidak memerlukan konfigurasi manual. Ini juga merupakan aplikasi yang sangat ringan dan tidak akan mengganggu Anda dengan pop-up sepanjang waktu.
Apa itu Windows PowerShell?
Windows PowerShell adalah shell yang dikembangkan oleh Microsoft untuk keperluan otomatisasi tugas dan manajemen konfigurasi. Shell yang kuat ini didasarkan pada kerangka .NET dan itu termasuk shell command-line dan bahasa scripting. Awalnya hanya komponen Windows, PowerShell dibuat open-source dan cross-platform pada 18 Agustus 2016 yang berarti siapa pun dapat mengembangkan perintah untuk digunakan dengan PowerShell.
Windows Defender selalu memiliki versi baris perintah yang dapat Anda jalankan di jendela Command Prompt biasa Anda. Namun, windows 10 membawa dengan itu cmdlet untuk Windows Defender.
A cmdlet (diucapkan sebagai perintah-biarkan ) adalah perintah ringan yang digunakan di lingkungan Windows PowerShell. Windows PowerShell runtime memanggil cmdlet ini dalam konteks skrip otomatisasi yang disediakan di baris perintah. Windows PowerShell runtime juga memanggil mereka secara terprogram melalui Windows PowerShell API (antarmuka program Aplikasi). Cmdlet melakukan tindakan dan biasanya mengembalikan objek Microsoft .NET Framework ke perintah berikutnya di dalam pipa. Seperti tindakan perintah cepat lainnya, cmdlet harus ada untuk mengembalikan hasil, jika tidak kesalahan akan ditampilkan.
Cara meluncurkan Windows PowerShell dalam mode administrator
Anda dapat menjalankan PowerShell dengan mengetik PowerShell di Run Window, tetapi itu tidak cukup memotongnya. Ini karena metode ini tidak akan menjalankan PowerShell dalam mode administrator, dan tanpa mode administrator, Anda terbatas pada apa yang dapat Anda lakukan karena izin. Berikut adalah cara untuk memulai PowerShell dalam mode administrator.
- Di Windows 10, cara termudah dan tercepat untuk melakukannya adalah meluncurkan File / Windows Explorer, buka folder apa saja, tarik menu File, buka Buka Windows PowerShell, kemudian pilih Buka Windows PowerShell sebagai perintah Administrator .
- Pilihan lainnya adalah pergi ke folder C : \ Windows \ System32 \ WindowsPowerShell \ v1.0 atau versi apa pun yang tersedia. Klik kanan pada file bernama PowerShell.exe dan buka sebagai administrator. File bernama PowerShell_ise.exe menyediakan PowerShell di Graphical User Interface daripada Command Prompt, tetapi keduanya bekerja dengan cara yang sama menggunakan cmdlet yang sama.
- Opsi terakhir adalah membuka Command Prompt sebagai administrator dan menggunakannya untuk membuka PowerShell. Buka Mulai> Semua Aplikasi / Semua Program> Sistem / Aksesori Windows> Klik Kanan pada Prompt Perintah dan jalankan sebagai administrator . Di jendela Command Prompt yang muncul, ketikkan PowerShell dan tekan Enter. Path akan berubah menjadi PS C: \ Windows \ System32> . Ini berarti Anda siap menggunakan lingkungan PowerShell.
PowerDell's Defender cmdlet dan bagaimana menggunakannya
Kami telah membicarakan tentang apa itu cmdlet, jadi bagaimana Anda menggunakannya? Anda cukup mengetik perintah ini ke jendela PowerShell.
Windows PowerShell menyediakan 12 cmdlet untuk Windows Defender. Untuk melihatnya, ketik saja Get-Command -Module Defender ke jendela command prompt PowerShell dan tekan enter. Berikut ini daftar lengkap cmdlet untuk Windows Defender.
Serial | Cmdlet | Deskripsi |
Tambah-MpPreferensi | Memodifikasi pengaturan untuk Windows Defender. | |
Dapatkan-MpComputerStatus | Mendapat status perangkat lunak anti-malware di komputer. | |
Dapatkan-MpPreferensi | Mendapat preferensi untuk scan dan pembaruan Windows Defender. | |
Dapatkan-MpThreat | Mendapat sejarah ancaman yang terdeteksi di komputer. | |
Dapatkan-MpThreatCatalog | Mendapat ancaman yang diketahui dari katalog definisi. | |
Dapatkan-MpThreatDetection | Dapatkan ancaman malware aktif dan masa lalu yang terdeteksi oleh Windows Defender. | |
Hapus-MpPreferensi | Menghapus pengecualian atau tindakan default. | |
Hapus-MpThreat | Menghapus ancaman aktif dari komputer. | |
Set-MpPreference | Mengonfigurasi preferensi untuk pemindaian dan pembaruan Windows Defender. | |
Mulai-MpScan | Mulai memindai di komputer. | |
Mulai-MpWDOScan | Mulai pemindaian offline Windows Defender. | |
Perbarui-MpSignature | Memperbarui definisi anti-malware di komputer. |
Mendapatkan bantuan dari PowerShell saat Anda terjebak
PowerShell menyertakan bantuan berbasis konsol sendiri yang ekstensif. Jika Anda macet atau Anda hanya menginginkan bantuan, deskripsi atau contoh tentang cmdlet, gunakan perintah ini untuk mendapatkan informasi.
Dapatkan-Bantuan -Detail | Ini akan memberi Anda penjelasan mendetail tentang apa yang dikaitkan dengan cmdlet dan apa yang dilakukannya termasuk parameter yang diperlukan. |
Dapatkan-Bantuan -Contoh | Perintah ini akan memberi Anda contoh tentang cara menggunakan cmdlet. |
Dapatkan-Bantuan -Full | Ini akan memberikan deskripsi rinci termasuk contoh. |
Jika Anda tidak dapat memperoleh kembali informasi apa pun, Anda harus memperbarui file bantuan cmdlet Windows Defender. Untuk memperbarui menu bantuan, ketik perintah ini di jendela PowerShell window Update-Help dan tunggu beberapa menit agar file bantuan terbaru diunduh dan dipasang.
Beberapa operasi standar di PowerShell untuk mengelola Windows Defender
Cmdlet Start-MpScan pada prompt PowerShell memungkinkan Anda menjalankan pemindaian pada sistem Anda. Ini adalah Windows Defender scan yang dapat Anda jalankan di PC menggunakan Windows PowerShell.
- FullScan - pemindaian ini dilakukan untuk semua file di komputer Anda, serta registri sistem dan aplikasi yang sedang berjalan. Cukup gunakan perintah ini untuk melakukan pemindaian penuh: Start-MpScan -ScanType QuickScan
- QuickScan - ini hanya akan melakukan analisis terhadap area-area yang kemungkinan besar terinfeksi oleh malware. Untuk melakukan pemindaian cepat, gunakan perintah berikut: Mulai-MpScan -ScanType FullScan
- CustomScan - pemindaian khusus akan memungkinkan pengguna memilih folder dan drive yang akan dipindai. Parameter jalur diperlukan untuk pemindaian ini. Berikut ini contoh cmdlet untuk menjalankan pemindaian khusus: Start-MpScan -ScanPath C: \ Users \ User1 \ Downloads
Jika Anda ingin memeriksa pembaruan definisi tanda virus baru dan memperbarui Windows Defender, Anda akan menggunakan perintah: Perbarui-MpSignature
Untuk menampilkan status saat ini dari opsi yang didukung Windows Defender, tanggal dan versi definisi virus, waktu pemindaian terakhir dan lainnya - ketikkan perintah ini ke PowerShell: Get-MpComputerStatus
Jika Anda ingin menonaktifkan Defender perlindungan real-time, gunakan perintah: Set-MpPreference -DisableRealtimeMonitoring $ true
Ada banyak cmdlet Windows Defender bahkan lebih rumit, tetapi halaman ini tidak akan menyelidiki itu. Setelah Anda mengetahui cmdlet pembentuk jendela dasar, kita akan melihat bagaimana cara mengintip ke database definisi tanda tangan Windows Defender.
TIP PRO: Jika masalahnya ada pada komputer Anda atau laptop / notebook, Anda harus mencoba menggunakan Perangkat Lunak Reimage Plus yang dapat memindai repositori dan mengganti file yang rusak dan hilang. Ini berfungsi dalam banyak kasus, di mana masalah ini berasal karena sistem yang rusak. Anda dapat mengunduh Reimage Plus dengan Mengklik di SiniMengakses basis data definisi malware malware Defender menggunakan PowerShell
Database definisi tanda tangan Windows Defender memberi tahu Anda apa yang dapat dikenali oleh windows defender sebagai ancaman dan menetralisirnya dengan sukses. Cmdlet Get-MpThreatCatalog akan membiarkan Anda melakukan ini. Seluruh daftar akan panjang dan akan dihasilkan dengan kecepatan tinggi di layar Anda. Namun, Anda dapat meluangkan waktu untuk menemukan apa yang Anda cari dan apa yang mungkin hilang. Cukup ketikkan perintah ini ke command prompt PowerShell dan tekan enter.
Dapatkan-MpThreatCatalog
Anda dapat menggunakan tombol Jeda / Putuskan pada PC Anda untuk sementara menghentikan sementara output. Untuk sepenuhnya menghentikan atau membatalkan seluruh daftar dari menghasilkan, tekan Ctrl + C. Jika Anda melakukan salah satu dari keduanya, Anda akan melihat catatan untuk setiap ancaman dalam database dengan enam bidang. Berikut ini contohnya:
CategoryID: 4
SeverityID: 5
ThreatID: 5145
ThreatName: TrojanDownloader: Win32 / Zlob.CH
TypeID: 0
PSComputerName:
Mari kita secara singkat melihat apa arti setiap bidang.
CategoryID: Ini akan menunjukkan jenis malware / ancaman yang terdaftar. Berikut adalah nilai yang diketahui sejauh ini, dan jenis ancaman / malware yang mereka tunjuk:
ID | Jenis perangkat lunak perusak |
0 | Tidak valid |
1 | Adware |
2 | Spyware |
3 | Passwordstealer |
4 | Trojandownloader |
5 | Cacing |
6 | Pintu belakang |
7 | Remoteaccesstrojan |
8 | Trojan |
9 | Emailflooder |
10 | Keylogger |
11 | Dialer |
12 | Monitoringsoftware |
13 | Browsermodifier |
14 | Kue kering |
15 | Browserplugin |
16 | Aolexploit |
17 | Nuker |
18 | Securitydisabler |
19 | Jokeprogram |
20 | Hostileactivexcontrol |
21 | Softwarebundler |
22 | Stealthnotifier |
23 | Settingmodifier |
24 | Bilah Alat |
25 | Remotecontrolsoftware |
26 | Trojanftp |
27 | Potensi perangkat lunak |
28 | Icqexploit |
29 | Trojantelnet |
30 | Program filesharing |
31 | Malware_Creation_Tool |
32 | Remote_Control_Software |
33 | Alat |
34 | Trojan_Denialofservice |
36 | Trojan_Dropper |
37 | Trojan_Massmailer |
38 | Trojan_Monitoringsoftware |
39 | Trojan_Proxyserver |
40 | Virus |
42 | Diketahui |
43 | Tidak dikenal |
44 | Spp |
45 | Tingkah laku |
46 | Kerentanan |
47 | Kebijakan |
SeverityID: Ini adalah skala 1-5 yang mengidentifikasi seberapa buruk ancaman, 5 menjadi yang tertinggi. Inilah yang mereka maksud.
ID | Kerasnya |
0 | Tidak dikenal |
1 | Rendah |
2 | Moderat |
4 | Tinggi |
5 | Parah |
ThreatID: Ini adalah nomor yang telah ditetapkan untuk malware / ancaman sebagai bentuk identifikasi.
ThreatName: Ini adalah nama yang diberikan untuk malware yang sesuai dengan nomor ThreatID.
TypeID: Nilai TypeID menentukan bagaimana Windows Defender mengidentifikasi malware. Apakah itu ancaman yang diketahui atau tidak diketahui? Inilah nilai-nilai dan apa artinya.
ID | Metode identifikasi |
0 | Dikenal ancaman buruk |
1 | Pemantauan perilaku |
2 | Ancaman tidak dikenal |
3 | Diketahui ancaman yang baik |
4 | Ancaman Network Inspection System (NIS) |
Anda mungkin memperhatikan bahwa semua ancaman yang muncul di layar Anda adalah tipe (0) ancaman. Ini karena sebagian besar definisi tanda tangan yang telah ditambahkan telah diteliti dan jenis ancaman yang mereka ajukan telah didokumentasikan.
PSComputerName: Nama komputer tempat aktivitas berjalan. Ini biasanya akan kosong jika Anda tidak berada di jaringan dan karena alasan sederhana bahwa database ini adalah katalog, dan bukan sebuah aktivitas.
Hal-hal untuk diingat
- Definisi tanda tangan adalah katalog yang sangat besar, jadi mungkin perlu beberapa waktu sebelum Anda melihat data yang dihasilkan di layar Anda. Sabar.
- Karena databasenya sangat besar, mungkin memori Anda akan tersumbat. Namun, cmdlet memiliki batas pada memori yang digunakan, dan Anda cenderung melihat pesan ini: PERINGATAN: Penggunaan memori cmdlet telah melampaui tingkat peringatan. PowerShell dapat memulihkan dan melanjutkan proses atau hanya mengembalikan Anda ke pipeline yang cepat. Sabar. Jika tidak, Anda dapat membatalkan acara dengan menekan Ctrl + C.
- Jika layar Anda menjadi terlalu sesak ketik perintah 'CLS' untuk menghapus layar. Ini juga akan meningkatkan penggunaan memori.
Querying Windows Defender Signature Definitions Database
Kueri hanyalah permintaan untuk informasi / data halus yang memenuhi kriteria tertentu dari basis data. Kami telah melihat seperti apa definisi database Defender Windows. Kami sekarang tahu bahwa ini adalah basis data yang sangat besar. Tetapi Anda selalu dapat memangkas jumlah informasi yang dapat ditampilkan dengan menambahkan beberapa parameter ke cmdlet Anda. Berikut beberapa contoh bagaimana Anda dapat melakukannya.
- Untuk melihat semua catatan dalam database untuk malware yang paling parah, gunakan cmdlet ini:
Dapatkan-MpThreatCatalog | di mana-objek {$ _. SeverityID -eq 5}
Nilai 5 akan mengembalikan definisi dengan tingkat keparahan 5 saja.
- Ada beberapa jenis malware yang dapat diidentifikasi oleh Windows Defender. Untuk membidik satu jenis hanya Anda harus melewati parameter TypeID atau lebih nyaman, parameter ThreatName. Contohnya adalah untuk melihat hanya ancaman yang dikenal sebagai virus. Cukup ketikkan ini ke jendela prompt perintah PowerShell:
Dapatkan-MpThreatCatalog | di mana-objek {$ _. Ancaman-Jodoh -Match ^ Virus. *}
Anda juga dapat menggunakan lebih dari satu kriteria untuk query database. Misalkan, misalnya, Anda perlu melihat semua virus dengan tingkat keparahan 5. Cukup ketik perintah ini ke jendela PowerShell:
Dapatkan-MpThreatCatalog | di mana-objek {$ _. SeverityID -eq 5} | di mana-objek {$ _. Ancaman-Jodoh -Match ^ Virus. *}
Dengan cara ini, Anda dapat memiliki beberapa kriteria kueri untuk mempersempit informasi yang ditampilkan.
- Bahkan setelah meng-query database Anda, Anda mungkin masih menemukan banyak data sedang ditampilkan di layar Anda. Jika Anda lebih suka melihat output pada layar satu halaman dalam satu waktu, ketik perintah berikut pada prompt PowerShell:
Dapatkan-MpThreatCatalog | di mana-objek {$ _. SeverityID -eq 5} | pilih ThreatName | lebih
Atau
Dapatkan-MpThreatCatalog | di mana-objek {$ _. SeverityID -eq 5} | di mana-objek {$ _. Ancaman-Jodoh -Match ^ Virus. *} | pilih ThreatName | lebih
Baris perintah ini menyalurkan output ke dalam perintah yang lebih banyak, yang pada gilirannya menampilkan output satu halaman dalam satu waktu. Untuk maju ke halaman berikutnya, tekan [Spasi] . Jika Anda menekan [Enter], layar akan memajukan satu baris dalam satu waktu. Ini akan menghemat banyak waktu tunggu yang diperlukan untuk menampilkan semua data sekaligus sebelum Anda dapat mulai melihat dan menggulir hasil Anda.
Ada lebih banyak perintah yang dapat Anda gunakan untuk mempersempit permintaan Anda. Dengan menggunakan informasi dan contoh yang telah kami cantumkan, Anda akan dapat dengan mudah melakukan hal ini. Ingat bahwa versi Windows Defender dan versi Windows PowerShell akan menentukan apakah Anda akan dapat menggunakan cmdlet untuk Windows Defender. Ini telah diuji untuk Windows 10. Halaman dukungan Microsoft menunjukkan bahwa ini tersedia untuk Windows Server 2016 dan Windows 10. Versi eceran (tidak diperbarui) Windows 7 tampaknya tidak mengenali cmdlet ini. Bahkan Windows 7 PowerShell akan membuang kesalahan atau mengembalikan kosong ketika Anda mengetik cmdlet ini. Memperbarui dua aplikasi ini (Defender dan PowerShell) mungkin membuat Anda kembali ke jalurnya.
TIP PRO: Jika masalahnya ada pada komputer Anda atau laptop / notebook, Anda harus mencoba menggunakan Perangkat Lunak Reimage Plus yang dapat memindai repositori dan mengganti file yang rusak dan hilang. Ini berfungsi dalam banyak kasus, di mana masalah ini berasal karena sistem yang rusak. Anda dapat mengunduh Reimage Plus dengan Mengklik di Sini